O Servidor Perfeito - Fedora 15 x86_64 [ISPConfig 2] - Página 4

11 MySQL 5

Para instalar o MySQL, fazemos o seguinte:

yum install mysql mysql-devel mysql-server

Em seguida, criamos os links de inicialização do sistema para o MySQL (para que o MySQL inicie automaticamente sempre que o sistema for inicializado) e iniciamos o servidor MySQL:

chkconfig –levels 235 mysqld on
/etc/init.d/mysqld start

Agora verifique se a rede está habilitada. Execute

netstat -tap | grep mysql

Deve mostrar algo como isto:

[root@server1 ~]# netstat -tap | grep mysql
tcp 0 0 :mysql :* LISTEN 1151/mysqld
[root@server1 ~]#

Se não mostrar, edite /etc/my.cnf e comente a opção skip-networking:

vi /etc/my.cnf

| [...] #skip-networking [...] |

E reinicie seu servidor MySQL:

/etc/init.d/mysqld restart 

Execute

 mysql_secure_installation 

para definir uma senha para o usuário root (caso contrário, qualquer um pode acessar seu banco de dados MySQL!).

[root@server1 ~]# mysql_secure_installation

NOTA: É RECOMENDADO EXECUTAR TODAS AS PARTES DESTE SCRIPT PARA TODOS OS SERVIDORES MySQL EM USO NA PRODUÇÃO! POR FAVOR, LEIA CADA ETAPA CUIDADOSAMENTE!

Para fazer login no MySQL e protegê-lo, precisaremos da senha atual para o usuário root. Se você acabou de instalar o MySQL e não definiu a senha do root ainda, a senha estará em branco, então você deve apenas pressionar enter aqui.

Digite a senha atual para root (pressione enter para nenhum): <– ENTER
OK, senha usada com sucesso, prosseguindo…

Definir a senha do root? [Y/n] <– ENTER
Nova senha: <– sua_senha_root_sql
Reinsira a nova senha: <– sua_senha_root_sql
Senha atualizada com sucesso!
Recarregando tabelas de privilégios..
… Sucesso!

Por padrão, uma instalação do MySQL tem um usuário anônimo, permitindo que qualquer um faça login no MySQL sem ter que ter uma conta de usuário criada para eles. Isso é destinado apenas para testes e para facilitar a instalação. Você deve removê-los antes de passar para um ambiente de produção.

Remover usuários anônimos? [Y/n] <– ENTER
… Sucesso!

Normalmente, o root deve ser permitido apenas a conectar-se a partir de ‘localhost’. Isso garante que alguém não possa adivinhar a senha do root pela rede.

Desabilitar login remoto do root? [Y/n] <– ENTER
… Sucesso!

Por padrão, o MySQL vem com um banco de dados chamado ‘test’ que qualquer um pode acessar. Isso também é destinado apenas para testes e deve ser removido antes de passar para um ambiente de produção.

Remover banco de dados de teste e acesso a ele? [Y/n] <– ENTER

• Removendo banco de dados de teste…
  … Sucesso!
• Removendo privilégios no banco de dados de teste…
  … Sucesso!

Recarregar as tabelas de privilégios garantirá que todas as alterações feitas até agora tenham efeito imediato.

Recarregar tabelas de privilégios agora? [Y/n] <– ENTER
… Sucesso!

Limpando…

Tudo pronto! Se você completou todas as etapas acima, sua instalação do MySQL deve agora estar segura.

Obrigado por usar o MySQL!

[root@server1 ~]#

12 Postfix Com SMTP-AUTH E TLS

Agora instalamos o Postfix e o Dovecot (Dovecot será nosso servidor POP3/IMAP):

yum install cyrus-sasl cyrus-sasl-devel cyrus-sasl-gssapi cyrus-sasl-md5 cyrus-sasl-plain postfix dovecot

Agora configuramos SMTP-AUTH e TLS:

postconf -e ‘smtpd_sasl_local_domain =’
postconf -e ‘smtpd_sasl_auth_enable = yes’
postconf -e ‘smtpd_sasl_security_options = noanonymous’
postconf -e ‘broken_sasl_auth_clients = yes’
postconf -e ‘smtpd_sasl_authenticated_header = yes’
postconf -e ‘smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination’
postconf -e ‘inet_interfaces = all’
postconf -e ‘mynetworks = 127.0.0.0/8 [::1]/128’

Devemos editar /usr/lib64/sasl2/smtpd.conf para que o Postfix permita logins PLAIN e LOGIN (em sistemas de 32 bits, este arquivo está em /usr/lib/sasl2/smtpd.conf). Deve ficar assim:

vi /usr/lib64/sasl2/smtpd.conf

| pwcheck_method: saslauthd mech_list: plain login |

Depois, criamos os certificados para TLS:

mkdir /etc/postfix/ssl
cd /etc/postfix/ssl/
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024

chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr

openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt

openssl rsa -in smtpd.key -out smtpd.key.unencrypted

mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Em seguida, configuramos o Postfix para TLS:

postconf -e ‘smtpd_tls_auth_only = no’
postconf -e ‘smtp_use_tls = yes’
postconf -e ‘smtpd_use_tls = yes’
postconf -e ‘smtp_tls_note_starttls_offer = yes’
postconf -e ‘smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key’
postconf -e ‘smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt’
postconf -e ‘smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem’
postconf -e ‘smtpd_tls_loglevel = 1’
postconf -e ‘smtpd_tls_received_header = yes’
postconf -e ‘smtpd_tls_session_cache_timeout = 3600s’
postconf -e ‘tls_random_source = dev:/dev/urandom’

Então, definimos o nome do host na nossa instalação do Postfix (certifique-se de substituir server1.example.com pelo seu próprio nome de host):

postconf -e 'myhostname = server1.example.com'

Após essas etapas de configuração, você deve agora ter um /etc/postfix/main.cf que se pareça com isto (removi todos os comentários dele):

cat /etc/postfix/main.cf

| queue_directory = /var/spool/postfix command_directory = /usr/sbin daemon_directory = /usr/libexec/postfix data_directory = /var/lib/postfix mail_owner = postfix inet_interfaces = all inet_protocols = all mydestination = $myhostname, localhost.$mydomain, localhost unknown_local_recipient_reject_code = 550 alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases debug_peer_level = 2 debugger_command = PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin ddd $daemon_directory/$process_name $process_id & sleep 5 sendmail_path = /usr/sbin/sendmail.postfix newaliases_path = /usr/bin/newaliases.postfix mailq_path = /usr/bin/mailq.postfix setgid_group = postdrop html_directory = no manpage_directory = /usr/share/man sample_directory = /usr/share/doc/postfix-2.8.3/samples readme_directory = /usr/share/doc/postfix-2.8.3/README_FILES smtpd_sasl_local_domain = smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes smtpd_sasl_authenticated_header = yes smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination mynetworks = 127.0.0.0/8 [::1]/128 smtpd_tls_auth_only = no smtp_use_tls = yes smtpd_use_tls = yes smtp_tls_note_starttls_offer = yes smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom myhostname = server1.example.com |

Agora inicie o Postfix e o saslauthd:

chkconfig sendmail off
chkconfig –levels 235 postfix on
chkconfig –levels 235 saslauthd on
chkconfig –levels 235 dovecot on
/etc/init.d/sendmail stop
/etc/init.d/postfix start
/etc/init.d/saslauthd start

Antes de iniciarmos o Dovecot, devemos habilitar a autenticação em texto simples. Abra /etc/dovecot/conf.d/10-auth.conf…

vi /etc/dovecot/conf.d/10-auth.conf

… e adicione a linha disable_plaintext_auth = no:

| [...] # Desabilitar o comando LOGIN e todas as outras autenticações em texto simples, a menos que # SSL/TLS seja usado (capacidade LOGINDISABLED). Note que se o IP remoto # corresponder ao IP local (ou seja, você está se conectando do mesmo computador), a # conexão é considerada segura e a autenticação em texto simples é permitida. #disable_plaintext_auth = yes disable_plaintext_auth = no [...] |

Então inicie o Dovecot:

  /etc/init.d/dovecot start

Para ver se SMTP-AUTH e TLS funcionam corretamente, execute o seguinte comando:

telnet localhost 25 

Depois de estabelecer a conexão com seu servidor de e-mail Postfix, digite

ehlo localhost 

Se você ver as linhas

250-STARTTLS 

e

250-AUTH LOGIN PLAIN

tudo está bem.

[root@server1 ssl]# telnet localhost 25
Tentando ::1…
Conectado a localhost.
Caractere de escape é ‘^]’.
220 server1.example.com ESMTP Postfix
<– ehlo localhost
250-server1.example.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
<– quit
221 2.0.0 Bye
Conexão fechada pelo host remoto.
[root@server1 ssl]#

Digite

quit 

para retornar ao shell do sistema.

12.1 Maildir

O Dovecot usa o formato Maildir (não mbox), então se você instalar o ISPConfig no servidor, certifique-se de habilitar Maildir em Gerenciamento -> Servidor -> Configurações -> Email. O ISPConfig fará a configuração necessária.

Se você não quiser instalar o ISPConfig, então deve configurar o Postfix para entregar e-mails no Maildir de um usuário (você também pode fazer isso se usar o ISPConfig - não faz mal ;-)):

postconf -e ‘home_mailbox = Maildir/‘
postconf -e ‘mailbox_command =’
/etc/init.d/postfix restart